DORA kommt – Was Finanzunternehmen und Finanzdienstleister jetzt rechtlich umsetzen müssen

Schon seit Januar 2025 gilt die EU-Verordnung über digitale operationale Resilienz („DORA“, Verordnung (EU) 2022/2554) verbindlich für weite Teile des Finanzsektors. Von den Vorgaben der Verordnung sind nicht nur klassische Finanzinstitute wie Banken, Versicherungen und Zahlungsdienstleister betroffen, sondern auch zahlreiche IT-Dienstleister, die digitale Leistungen wie Cloud-Services, Rechenzentren, Softwarelösungen oder Datenanalytik bereitstellen. Damit sind auch viele bislang nicht regulierte IT- und Technologieunternehmen erstmals unmittelbar in den Anwendungsbereich europäischer Finanzaufsicht gerückt.

Was DORA erreichen will

Ziel von DORA ist es, die digitale Widerstandsfähigkeit des gesamten Finanzsystems in Europa zu stärken – nicht nur innerhalb einzelner Organisationen, sondern entlang der gesamten Wertschöpfungskette. Cyberrisiken, Systemausfälle oder IT-Angriffe bei einem einzigen Dienstleister können gravierende Auswirkungen auf die Stabilität ganzer Märkte haben. Entsprechend verpflichtet DORA alle adressierten Unternehmen, ihre Risiken aus Informations- und Kommunikationstechnologien strukturiert zu managen.

Vertragliche Klarheit: Wer ist wofür verantwortlich?

Konkret müssen Unternehmen unter DORA u. a. Prozesse zur Risikoanalyse, zur Vorfallserkennung und -meldung, zum Testen der Resilienz sowie zur Überwachung von IKT-Drittbeziehungen einführen. Besonders praxisrelevant ist die Verpflichtung, bestehende Verträge zwischen IT-Dienstleistern und Finanzinstituten umfassend zu überprüfen und anzupassen. Denn DORA verlangt, dass vertraglich klar geregelt ist, wer bei IT-Vorfällen welche Verantwortlichkeiten trägt, wie Zugriffs- und Prüfungsrechte ausgestaltet sind und welche Informationspflichten gegenüber Aufsichtsbehörden bestehen. Hiervon werden auch sämtliche Vertragsverhältnisse zu Subdienstleistern erfasst und müssen nachvollziehbar dokumentiert werden.

Umsetzung in der Praxis: Standardklauseln reichen nicht aus

Diese Anforderungen lassen sich nicht durch einfache Standardklauseln erfüllen. Vielmehr erfordert die Umsetzung eine sorgfältige Bestandsaufnahme, die rechtliche Prüfung bestehender Verträge sowie im Ergebnis eine klare Zuweisung der von DORA geforderten Verantwortlichkeitszuweisungen.

Die Umsetzungsfrist ist schon abgelaufen, umso mehr sind Unternehmen im Finanzumfeld angehalten, zügig zu prüfen, inwieweit sie von DORA erfasst sind und welche Anpassungen jetzt notwendig sind. Die Umsetzung ist mitunter komplex und mit Blick auf Haftungsrisiken sowie Aufsichtspflichten dringend zu priorisieren. Zugleich bietet die aktuelle Situation eine gute Gelegenheit, auch langjährig bestehende Vertragswerke mit Kunden im Ganzen zu überprüfen und ggf. dringend erforderliche Anpassungen oder Nachverhandlungen direkt im Zuge der DORA-Umsetzung anzugehen.

Sprechen Sie uns gerne an

Wir unterstützen Sie gerne bei der Vertragsgestaltung und der rechtssicheren Umsetzung der DORA-Vorgaben praxisnah und lösungsorientiert in Ihrem Unternehmen. Melden Sie sich gerne, wenn Sie Fragen hierzu haben.